Tech Friend est notre colonne de conseils couvrant la cybersécurité, la confidentialité et la technologie de tous les jours. Envoyez votre question par e-mail à techfriend@expressvpn.com. Si vous avez des questions sur votre abonnement ExpressVPN ou si vous avez besoin d’aide pour le dépannage, veuillez visiter Soutien.
Introduction par effraction
Je ne comprends pas comment une société de gestion de mots de passe peut gérer une liste de mots de passe avec la moindre garantie qu’elle ne sera pas piratée comme tout autre service. Merci de m’expliquer comment c’est sécurisé.
Soumis par Tom, via les commentaires du blog
Les gestionnaires de mots de passe sont des services qui vous permettent de stocker tous vos mots de passe en un seul endroit, et la seule chose dont vous avez besoin pour y accéder est un mot de passe principal (ou maître). Alors, qu’est-ce qui empêcherait quelqu’un de pirater les serveurs de la société de gestion de mots de passe pour voler soit votre jeu complet de mots de passe enregistrés, soit, tout aussi utile, votre mot de passe principal ?
Revenons en arrière un instant pour discuter des avantages de l’utilisation d’un gestionnaire de mots de passe en premier lieu.
Vous avez probablement des dizaines de comptes en ligne et donc des dizaines de mots de passe pour vous connecter à ces comptes. Avec de nombreux sites suggérant l’inclusion de lettres, de chiffres, de symboles, un nombre minimum de caractères, etc., les mots de passe peuvent devenir compliqués. Vous pouvez utiliser le même mot de passe sur plusieurs comptes ou une formule qui vous permet de modifier légèrement vos différents mots de passe.
Il y a plusieurs problèmes ici. Mots de passe répétés ou similaires vous rendent particulièrement vulnérable car en cas de violation de données trop courante, un pirate peut utiliser un mot de passe révélé pour essayer de deviner vos mots de passe pour de nombreux autres comptes.
L’autre problème est qu’il est à la limite de l’impossibilité pour l’humain moyen de se souvenir de nombreux mots de passe forts différents – et par fort, nous entendons long et aléatoire. Un mot de passe court est beaucoup plus vulnérable aux attaques par force brute, où un bot est configuré pour essayer de nombreuses combinaisons de mots de passe. Un non-aléatoire – un qui a des phrases courantes, par exemple – pourrait également être plus facile à déchiffrer qu’un qui n’a pas de sens. (Une exception est phrases secrètes générées aléatoirementoù de vrais mots aléatoires constituent le mot de passe.)
Pour avoir plusieurs mots de passe forts, vous avez besoin d’un système qui vous permet de ne pas avoir à les mémoriser. C’est à cela que servent les gestionnaires de mots de passe.
Voici comment cela fonctionne. Vous saisissez toutes vos informations de connexion dans l’application de gestion des mots de passe. Cela fonctionne comme un coffre-fort, et en tant que tel, vous avez besoin d’une clé pour y accéder, qui serait votre mot de passe principal. C’est la seule chose dont vous devez vous souvenir lorsque vous utilisez un gestionnaire de mots de passe. Vous pourrez peut-être également le configurer pour pouvoir utiliser vos données biométriques (empreintes digitales ou FaceID) pour accéder à votre coffre-fort.
Certains gestionnaires de mots de passe vous permettent également de conserver des informations telles que vos coordonnées, les détails de votre carte de crédit et même des informations médicales. Il est logique que vous vous souciez de mettre toutes vos informations au même endroit. Après tout, si un gestionnaire de mots de passe est piraté, c’est beaucoup d’informations sur vous qui atterriront entre les mains d’un tiers.
Malheureusement, la sécurité n’est pas absolue – vous ne pouvez qu’atténuer les risques, pas les éliminer – et comme le récent violation de données chez Lastpass a montré, gestionnaires de mots de passe peut se faire pirater. Alors, pourquoi les experts en cybersécurité continuent-ils de défendre l’utilisation des gestionnaires de mots de passe ? La réponse courte : Vos mots de passe restent indéchiffrables.
Tout se résume au cryptage. Lorsque vous stockez des mots de passe (ou des données, d’ailleurs) dans un gestionnaire de mots de passe, ces informations doivent être cryptées. Les gestionnaires de mots de passe réputés utilisent le cryptage AES 256 bits pour protéger vos mots de passe, la même norme de cryptage utilisée par les militaires, les banques et ExpressVPN.
Si un tiers parvient à pirater les serveurs d’un gestionnaire de mots de passe et à s’emparer des données de l’utilisateur, il ne pourra toujours pas les déchiffrer grâce au cryptage. Pour mémoire, Lastpass a crypté les mots de passe des utilisateurs mais a laissé certaines informations, comme les URL, non cryptées, ce qui a augmenté le risque pour la vie privée des utilisateurs. Idéalement, toutes les données seraient cryptées.
De plus, la plupart des gestionnaires de mots de passe utilisent un cryptage à connaissance zéro. Vos données sont cryptées sur votre appareil avant d’être envoyées au serveur. Lorsque vous le déchiffrez en tapant votre mot de passe principal ou en utilisant vos données biométriques, tout se passe à nouveau sur votre appareil.
Ça signifie l’entreprise n’a pas accès à votre mot de passe principal ni à aucun des mots de passe de votre compte— afin qu’ils ne puissent pas être volés. Personne d’autre que vous ne peut déverrouiller votre coffre-fort de mots de passe.
Un aspect de cette conception est que si vous perdez votre mot de passe principal (et le code de récupération, proposé par la plupart des gestionnaires de mots de passe), vous perdrez tout ce que vous avez enregistré dans le gestionnaire de mots de passe. Mais c’est une fonctionnalité, pas un bug.
Les gestionnaires de mots de passe peuvent utiliser des mesures de sécurité supplémentaires pour protéger vos données, telles que le renforcement de la clé PBKDF2 et le chiffrement de bout en bout. Cela varie selon les fournisseurs, il est donc toujours préférable de faire vos recherches avant de choisir un gestionnaire de mots de passe.
En termes de fonctionnalité, la plupart des gestionnaires de mots de passe peuvent également vous aider à générer un mot de passe long et aléatoire pour un compte donné, et vous pouvez configurer le service pour remplir automatiquement vos informations de connexion lorsque vous essayez d’accéder à un site.
S’il y a un point faible potentiel dans votre utilisation d’un gestionnaire de mots de passe, c’est votre mot de passe principal. Les gestionnaires de mots de passe peuvent faire tout ce qu’ils peuvent pour garder vos données hors de portée de tiers, mais la définition d’un mot de passe principal fort – et le garder pour vous – dépend toujours de vous. Si vous deviez définir une valeur facilement devinable ou mot de passe commun, votre gestionnaire de mots de passe ne serait pas sécurisé. Vous devez définir un mot de passe principal fort et activer authentification à deux facteurs pour votre gestionnaire de mots de passe s’il est disponible.
Regardez notre vidéo : Meilleures façons de stocker vos mots de passe